当黑客进行网络攻击的时候，其中的一个首要目标是获得要破坏的系统超级用户权限。如果破坏过程正在以超级用户权限进行，那么即意味着实际的攻击已经开始。

　　这种Windows网络程序攻击事件非常常见，因为人们通常以管理员的身份进入操作系统。在很多普通的Windows系统中，具有进入系统权限的黑客能够完全地控制这一系统──而且能够安装远程可执行的命令解释程序，或者安装一个能够进一步访问系统的“backdoor”程序。

　　而且，很多入侵者还关闭了自己进入的地方，以阻止其它人从同样地方进入到系统，或者删除掉攻击的痕迹，并且随意安装自己的软件。此时攻击者成为了系统的主人。

　　在UNIX系统中，很多程序都以超级用户权限而运行。而在UNIX系统中以超级用户权限运行的程序常常成为入侵者攻击的首要目标。这一点而言，UNIX和Windows具有相同之处。

　　UNIX系统中以超级用户运行的网络程序一般都需要被多个用户帐号访问，或者需要处理多个用户信息。这些网络程序包括：OpenSSH，e-mail服务器软件(比如Sendmail)，以及FTP后台程序。很多程序，如Apache Web server，在启动和连接网络服务之后，能够将用户权限转换为一个非超级用户，从而防止网络攻击，但有些程序没有这一功能。

　　但是，在UNIX系统中转换用户权限为非超级用户并不意味着系统上的安全。当地的攻击仍然存在，而且入侵者也可以远距离地运行命令。他们总会千方百计地进入到系统并获得超级用户权限。一旦入侵者获得超级用户访问，他们下一步就会安装一个rootkit，以继续保持他们的访问权限并扩大攻击的范围。

　　Rootkit是基本UNIX系统命令中可替代程序的集合，系统遭受破坏之后，它能够很快地控制系统和保持访问系统的权限。除非你已经证实了程序的使用权限，否则你将无法知道是否已经有人破坏了你的机器。

　　如Tripwire这样的程序记载了系统文件的改变，并且在问题产生的时候能够给操作者提供警报。Tripwire可以以两种commercial 和open source版本而使用，而且很多人认为它是保护UNIX操作系统的一个很有实际作用的标准工具。

　　还有一款名为chkrootkit的出色的公开源代码工具，它能够很快检查不同的UNIX rootkits。如果你没有使用Tripwire，并怀疑有人已经破坏到你的UNIX系统，我建议你立即下载并使用chkrootkit。

　　如果你的系统不是很混乱，那么维护起来就更加容易，而且受到攻击的可能性会减小。而安装Tripwire是一个很好的主意。

　　但是只识别到在UNIX系统是否已经安装了rootkits，这远非还不够，你还需要知道如何移除它们。下一次，我将告诉你如何在UNIX系统中移除rootkits而使得系统得以恢复。